Das EU-US Data Privacy Framework (DPF) steht vor seinem strukturellen Kollaps. Der US Supreme Court hat in Trump v. Slaughter mit 6:3 Stimmen entschieden, dass die Unabhängigkeit der Federal Trade Commission (FTC) verfassungswidrig ist. Für zehntausende europäische Unternehmen, die täglich Daten an AWS, Microsoft 365 oder Google Cloud übermitteln, beginnt damit eine neue Phase der Rechtsunsicherheit.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Der Supreme Court hat die gesetzliche Unabhängigkeit der FTC per „Unitary Executive Theory“ gekippt – alle Exekutivbehörden unterstehen nun direkt dem US-Präsidenten.
  • Das EU-US Data Privacy Framework nennt die unabhängige FTC 259-mal als Datenschutzaufsicht; diese Grundlage ist damit weggefallen.
  • SCCs und BCRs sind mittelbar ebenfalls betroffen, weil deren Transfer Impact Assessments auf dieselben nun abhängigen US-Behörden abstützen.
  • Das DPF bleibt formal in Kraft, bis die EU-Kommission den Beschluss zurückzieht oder der EuGH ihn annulliert – unmittelbarer Handlungszwang besteht nicht, aber Sorgfaltspflichten gelten jetzt.

Warum die Slaughter-Entscheidung das DPF aushöhlt

Zerbrochener Schild mit Enten-Aufkleber, Stempel und rotem Abdruck „UNGÜLTIG“ auf Weiß
Supreme Court kippt Schutzbestimmungen für unabhängige Behörden zugunsten präsidialer Vollmacht

Der Kern des Urteils ist die sogenannte Unitary Executive Theory: Der US-Präsident muss nach Ansicht der konservativen Mehrheit vollständige Kontrolle über alle Exekutivorgane besitzen. Gesetzliche Unabhängigkeitsgarantien für Behörden wie die FTC sind damit verfassungswidrig. Das Gericht hat dabei das 91 Jahre alte Präzedenzurteil Humphrey’s Executor v. United States (1935) gekippt, das unabhängige Behörden ausdrücklich erlaubt hatte.

Für das DPF ist das fatal. Die EU-Kommission stützt ihren Angemessenheitsbeschluss auf eine unabhängige FTC als Datenschutzaufsicht, und zwar 259-mal. Artikel 8(3) der EU-Grundrechtecharta und Artikel 16(2) AEUV schreiben unabhängige Aufsicht als zwingendes Erfordernis vor. Fällt die Unabhängigkeit weg, kollabiert die gesamte Äquivalenzlogik des Rahmens. Auch der sogenannte Data Protection Review Court (DPRC), der juristischen Rechtsschutz bei US-Überwachungsmaßnahmen bieten soll, ist keine echte Justizbehörde, sondern ein Exekutivorgan innerhalb des US-Justizministeriums, das nur per Executive Order abgesichert war.

Das DPF ist kein Einzelfall: Safe Harbour, Privacy Shield, jetzt das DPF. Die EU-Kommission baut unter Industriedruck immer dasselbe Kartenhaus, und es fällt immer aus demselben Grund.

— Markus Seyfferth, Chefredakteur Dr. Web

Schrems III oder geordneter Rückzug?

Waage mit EU-Fahne links und
Die Slaughter-Entscheidung verschiebt das Machtgefüge: Exekutivkontrolle verdrängt die unabhängige Aufsicht, die das EU-Datenschutzrecht zwingend vorschreibt.

Das DPF ist nicht das erste Opfer dieser Konstruktionslogik. Safe Harbour ist 2015 in Schrems I annulliert worden, weil US-Überwachungsrecht keine äquivalente Schutzwirkung bot. Das Privacy Shield ist 2020 in Schrems II gefallen, weil gerichtlicher Rechtsschutz fehlte. In beiden Fällen mussten tausende Unternehmen innerhalb weniger Monate auf Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) umsteigen. Die Übergangsfrist nach dem Privacy-Shield-Urteil hat effektiv null bis drei Monate betragen.

Verschärfend kommt hinzu, dass auch SCCs und BCRs jetzt betroffen sind. Deren Transfer Impact Assessments stützen sich auf vormals unabhängige US-Exekutivorgane wie das Privacy and Civil Liberties Oversight Board (PCLOB) und eben den DPRC. Nach der Slaughter-Entscheidung sind beide nicht mehr unabhängig. NOYB hat die EU-Kommission bereits in einem offenen Brief aufgefordert, den Angemessenheitsbeschluss geordnet zurückzuziehen. Wer als DACH-Entscheider heute noch ausschließlich auf das DPF setzt und keinen Plan B dokumentiert hat, riskiert eine Sorgfaltspflichtverletzung nach DSGVO Art. 46. Unter NIS2 greift zusätzlich die Risikomanagementpflicht, wie das BSI bereits bei der Mittelstandsbefragung 2026 betont hat.

Für Entscheider, die sich mit den Cybersecurity-Grundlagen für KMU beschäftigen, ist dieser Fall ein Lehrstück: Compliance-Risiken entstehen nicht nur durch Angriffe, sondern durch politische Gerichtsentscheide auf einem anderen Kontinent. Wer Microsoft 365 oder andere US-Cloud-Dienste einsetzt und DSGVO-Meldepflichten bisher nur technisch gedacht hat, muss jetzt auch die Transfergrundlage im Blick behalten. Das Cybersecurity-Glossar liefert die nötigen Definitionen zu SCCs, BCRs und Transfer Impact Assessments für Teams, die den internen Briefing-Prozess gerade aufsetzen.

Fünf To-dos für DACH-Entscheider

Klemmbrett mit deutscher DPF-Checkliste und einem Kugelschreiber daneben, aufgenommen aus der Vogelperspektive
Fünf konkrete To-dos für DACH-Entscheider: Wer jetzt keinen Notfallplan für den DPF-Wegfall dokumentiert, riskiert eine Sorgfaltspflichtverletzung nach DSGVO Art. 46.
  • Datentransfer-Mapping aktualisieren: Welche US-Dienste nutzen ausschließlich das DPF als Rechtsgrundlage?
  • DSB oder DPO sofort informieren und die Prüfung schriftlich dokumentieren – das schützt bei späteren Aufsichtsverfahren.
  • Verträge mit US-Anbietern auf SCC-Parallelabsicherung (Standardvertragsklauseln 2021/914) prüfen und bei Bedarf nachrüsten.
  • Transfer Impact Assessments für alle US-Dienste auf Basis der neuen Rechtslage überarbeiten; die bisherigen Bewertungen zur FTC-Unabhängigkeit sind überholt.
  • Notfallplan dokumentieren: Migration zu einem EU-Hoster oder Aktivierung der SCCs vorbereiten. Historisch hat die Übergangsfrist nach einem EuGH-Urteil null bis drei Monate betragen.

Die persönliche Geschäftsführerhaftung unter NIS2, die die CISO-Studie 2026 detailliert beleuchtet, macht Untätigkeit zur individuellen Haftungsfrage. Auch DSGVO-konforme Kommunikationswege und interne Prozesse gehören jetzt auf den Prüfstand, sofern US-Dienste die E-Mail-Infrastruktur stellen. Das DPF ist formal noch in Kraft – aber wer jetzt nicht handelt, baut auf einem Fundament, das die Datenschutzbehörden schon heute in Frage stellen dürfen.

Mehr Newshunger?

4,4 291 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?